De: [nombre del archivo adjunto]@delfi.lt
Asunto: [una de las líneas del siguiente listado:]

Antivirus Update
EBAY Update
Gift for you
Hello, please wisit this nice site
Hi, look this attcahment
Urgent NEWs
Urgent Windows UPDATE

Cuerpo del mensaje: (aparenta estar vacío)

El mensaje tiene formato HTML, y no contiene ningún texto visible. Sin embargo, con solo visualizar ese contenido vacío, el gusano, embebido en el código HTML, se ejecuta en forma automática. Ello ocurre también al verlo en el panel de vista previa del Outlook.

Además de ello, utilizando su propio motor SMTP (Simple Mail Transfer Protocol), el gusano responde a todos los mensajes recibidos, utilizando librerías MAPI y mensajes como el siguiente:

Asunto: Re:
Cuerpo del mensaje:
I reply as soon as possible to your email
You wrote:----------

Archivo adjunto: [nombre del gusano]

Cuando el gusano se ejecuta, el mismo verifica si existe la siguiente clave en el registro:

HKEY_LOCAL_MACHINE\Software\EarLG\Config
AppName = ypacww.exe

Si no existe la crea (o sea, la primera vez). Si existe, el gusano no se propaga vía correo electrónico.

El nombre del ejecutable es el del gusano ("ypacww.exe" es solo un ejemplo de miles posibles), contiene 4 a 7 caracteres formados al azar en su código viral. El gusano copia el archivo con ese nombre infectado a la carpeta System de Windows. En el ejemplo:

C:\Windows\System\ypacww.exe

Además, para ejecutarse en cada reinicio de Windows, el gusano crea la siguiente entrada en el registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
ypacww.exe = C:\Windows\System\ypacww.exe

"C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP).

El gusano utiliza también la siguiente clave del registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\WAB\DLLPath

Esta entrada muestra una ruta hacia la librería MAPI WAB32.DLL, normalmente en C:\Windows\System\ypacww.exe, o C:\Archivos de programa\Archivos comunes\System\ypacww.exe y que el gusano usa para auto-enviarse.

También crea un archivo en la carpeta System, con el nombre del gusano, pero sin extensión. Por ejemplo, si el archivo infectado era ypacww.exe, el nombre del creado será YPACWW:

C:\Windows\System\ypacww

Además, guarda todas las direcciones de correo a las que se envía, y de ese modo evita volverse a enviar a las mismas direcciones.


Reparación manual

Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

[nombre] = C:\Windows\System\[nombre].exe

Donde [nombre del gusano] es el nombre dado al gusano.

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Actualizar Internet Explorer

Actualice su Internet Explorer 5.01 o 5.5 según se explica en el siguiente artículo:

Parches para WinXP e Internet Explorer (MS03-004 y 005)
http://www.vsantivirus.com/vulms03-004-005.htm

O instale el IE 6.0, Service Pack 1 (SP1):

Cómo descargar Internet Explorer 6 SP1 en español
http://www.vsantivirus.com/descarga-ie6sp1.htm

Y luego actualice su Internet Explorer como se explica aquí:

Parches para WinXP e Internet Explorer (MS03-004 y 005)
http://www.vsantivirus.com/vulms03-004-005.htm


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com